网络管理与安全技术课件.ppt

网络管理与安全技术,1,谢谢观赏,2019-9-21,第6章网络安全技术,6.1安全通信协议6.2加密技术6.3认证机制6.4 VPN技术6.5 网络病毒防治技术,2,谢谢观赏,2019-9-21,第6章安全通信协议,6.1 网络层安全协议体系IPSec IPSecIP Security6.1.1 IPSec的作用 IPSec通过在IP层对所有业务流加密和认证，保证了所有分布式应用程序的安全性。企业可在公网上建立自己的虚拟专用网。配有IPSec系统的用户，通过ISP获取安全访问。IPSec既可用于建立内部网安全连接也可用于外部网的安全连接。IPSec可增加已有的安全协议的安全性。,3,谢谢观赏,2019-9-21,IPSec应用示例用户系统-IPSec-WAN-IPSec-网络设备-IP-LAN,4,谢谢观赏,2019-9-21,IPSec具有以下意义：IPSec用于防火墙和路由器等网络设备中，以提供安全的业务流，而在LAN内则可以不必进行安全性处理。IPSec用于防火墙可防止用IP的业务流绕过防火墙。IPSec位于网络层，对于应用程序来说是透明的。无需修改用户或服务器所使用的软件。,6.1 网络层安全协议体系IPSec,5,谢谢观赏,2019-9-21,IP层的安全问题涉及了认证、保密和密钥管理三个领域。其安全性应达到： 期望安全的用户能够使用基于密码学的安全机制； 应能同时适用于IPv4和IPv6; 算法独立； 有利于实现不同安全策略； 对没有采用该机制的用户不会有负面影响。,6.1 网络层安全协议体系IPSec,6,谢谢观赏,2019-9-21,6.1.2 IPSec体系结构,IPSec在IP层提供安全业务的方式是让系统选择所要求的安全协议、算法和密钥。安全协议有：认证报头AH（Authentication Header),即认证协议。封装的安全负载ESP（Encapsulating Security Payload),即加密与认证协议。 ESP又分为仅加密和加密与认证结合两种情况。,7,谢谢观赏,2019-9-21,6.1.2 IPSec体系结构,8,谢谢观赏,2019-9-21,体系：定义IPSec技术的机制；ESP：用其进行包加密的报文格式和一般性问题；AH：用其进行包认证的报文包格式和一般性问题加密算法：描述将各种不同加密算法用于ESP的文档；认证算法：描述将各种不同加密算法用于AH以及ESP认证选项的文档； 密钥管理：描述密钥管理模式DOI ：其他相关文档，如加密和认证算法标识及运行参数等。IPSec体系结构中涉及的主要概念有：安全关联、模式、AH、ESP,6.1.2 IPSec体系结构,9,谢谢观赏,2019-9-21,1.安全关联（Security Associations）,SA是 IP认证和保密机制中最关键的概念。一个关联就是发送与接收者之间的一个单向关系。如果需要一个对等关系，即双向安全交换，则需要两个SA。SA提供安全服务的方式是使用AH或ESP之一。 一个SA可由三个参数惟一地表示 ,10,谢谢观赏,2019-9-21,1.安全关联（Security Associations）,IPSec的实现还需要维护两个数据库： 安全关联数据库SAD 安全策略数据库SPD通信双方如果要用IPSec建立一条安全的传输通路，需要事先协商好将要采用的安全策略，包括使用的算法、密钥及密钥的生存期等。SA就是能在其协商的基础上为数据传输提供某种IPSec安全保障的一个简单连接。（可以是AH或ESP）SA的组合方式有：传输模式和隧道模式,11,谢谢观赏,2019-9-21,2. AH和ESP的两种使用模式,传输模式 传输模式主要用于对上层协议的保护，如TCP、UDP和ICMP数据段的保护。以传输模式运行的ESP协议对IP报头之后的数据（负载）进行加密和认证，但不对IP报头进行加密和认证。以传输模式运行的AH协议对负载及报头中选择的一部分进行认证。,12,谢谢观赏,2019-9-21,2. AH和ESP的两种使用模式,隧道模式隧道模式用于对整个IP数据报的保护，即给原数据报加一个新的报头（网关地址）。原数据报就成为新数据报的负载。原数据报在整个传送过程中就象在隧道中一样，传送路径上的路由器都有无法看到原数据报的报头。由于封装了原数据报，新数据报的源地址和目标地址都与原数据报不同，从而增加了安全性。,13,谢谢观赏,2019-9-21,6 .1.3 IPSec服务与应用,1. SA的组合方式 一个SA能够实现AH协议或ESP协议，但却不能同时实现这两种协议。当要求在主机间和网关间都实现IPSec业务时，就要求建立多个SA， 即采用SA组合方式。,14,谢谢观赏,2019-9-21,LAN,实现IPSec,安全网关,安全网关,隧道SA,一个或两个SA,SA的组合方式,15,谢谢观赏,2019-9-21,SA的组合方式,SA的基本组合有四种方式每个SA所承载的通信服务或为AH或为ESP对主机到主机的SA，AH或ESP的使用模式可以是传输模式也可以是隧道模式。如果SA的两个端点中至少有一个安全网关，则AH或ESP的使用模式必须是隧道模式。,16,谢谢观赏,2019-9-21,6 .1.4 传输层安全协议SSL,6.1.4 SSL协议概述 安全套接层协议SSL是在Internet上提供一种保证私密性的安全协议。 C/S通信中，可始终对服务器和客户进行认证。 SSL协议要求建立在可靠的TCP之上，高层的应用协议能透明地建立在SSL之上。 SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。,17,谢谢观赏,2019-9-21,6.1.4 Web安全性方法,保护Web安全性的方法有多种，这些方法所提供的安全业务和使用机制都彼此类似，所不同之处在于它们各自的应用范围和在TCP/IP协议栈中的相对位置。,应用层,18,谢谢观赏,2019-9-21,6.1.4 Web安全性方法,网络层安全实现 利用IPSec提供Web的安全性，其优点是对终端用户和应用程序是透明的，且为Web安全提供一般目的的解决方法。传输层安全实现 将SSL或TLS作为TCP基本协议组的一部分，因此对应用程序来说是透明的。还可将SSL嵌套在特定的数据包中（如IE等大多数Web服务器都装有SSL）。应用层安全实现 对特定应用程序来说，其安全业务可在应用程序内部实现，这种方法的优点是安全业务可按应用程序的特定需要来定制。,19,谢谢观赏,2019-9-21,6.1.5 协议规范,安全套接字层SSL是由Netscape设计的，目前有SSLv 3。 SSL协议主要由SSL记录协议和SSL握手协议两部分组成。其结构如下：,SSL警示协议,20,谢谢观赏,2019-9-21,6.1.5协议规范,1. SSL记录协议 SSL记录协议可为SSL连接提供保密性业务和消息完整性业务。保密性业务是通信双方通过握手协议建立一个共享的密钥，用于对SSL负载的单钥加密。消息完整性业务是通过握手协议建立一个用于计算MAC（消息完整性认证）的共享密钥。,21,谢谢观赏,2019-9-21,6.1.5协议规范,SSL握手协议握手协议用于服务器和客户机之间的相互认证及协商加密算法、MAC算法和密钥，它的执行是在发送应用数据以前。,22,谢谢观赏,2019-9-21,6.2 加密技术,6.2.1 对称加密在对称加密方法中，用于加密和解密的密钥是相同的，接收者和发送者使用相同的密钥，即一个秘密密钥。双方必须小心翼翼地保护密钥，不让外人得知。密钥的最初传输是非常重要的。如果密钥被他人截获，那么保密的信息就不再受到保护了。,23,谢谢观赏,2019-9-21,6.2.1对称加密,对称加密示意图,24,谢谢观赏,2019-9-21,6.2.1对称加密,对称算法 产生一个对称密钥可以用许多算法，RSA算法是最常用的商业算法。既能用于数据加密又能用于数字签名的算法 。 在商业应用程序中RSA算法中的RC2和RC4是最常用的对称密钥算法。其密钥长度为40位。 RC2是由Ron Rivest开发的，是一种块模式的密文，即将信息加密成64位的数据。RC4是由Rivest 在1987年开发的，是一种流式的密文，即实时的把信息加密成一个整体，密钥的长度也是可变的。在美国密钥长度是128位，向外出口时密钥长度限制到40位，Lotus Notes, Oracle Secure SQL都使用RC4的算法。,25,谢谢观赏,2019-9-21,6.2.1对称加密,优点和缺点 对称加密的优点在于它的高速度和高强度。用该加密方法可以一秒钟之内加密大量的信息。为了使信息在网络上传输，用户必须找到一个安全传递口令密钥的方法。如用户可以直接见面转交密钥，若使用电子邮件则容易被窃取，影响保密的效果。定期改变密钥可改进对称密钥加密方法的安全性，但是改变密码并及时通知其他用户的过程是相当困难的。而且攻击者还可以通过字典程序来破译对称密钥。,26,谢谢观赏,2019-9-21,6.2.1对称加密,数据加密标准 DES-最著名的对称加密技术，是IBM于70年代为国家标准局研制的数据加密标准。DES采用64位长的密钥（包括8个校验位，密钥长度为56位），能将原文的若干个64位块变换成加密的若干个64位代码块。其原理是将原文经过一系列的排列与置换所产生的结果再于原文异或合并。该加密过程重复16次，每次所用的密钥位排列不同。即使按照目前的标准，采用该方法的加密结果也是相当安全。,27,谢谢观赏,2019-9-21,6.2.1对称加密,美国在1998年12月决定将不再使用DES。原因为1998年5月美国EFF（Electronics Frontier Foundation）宣布，他们的一台专用解密机，用56小时破译了56位密钥的DES。美国国家标准和技术协会又制定了AES（Advanced Encryption Standard）这一新的加密标准。DES对于推动密码理论的发展和应用起了重大的作用。,28,谢谢观赏,2019-9-21,6.2.2 非对称加密,非对称密钥加密在加密的过程中使用相互关联的一对密钥，一个归发送者，一个归接收者。密钥对中的一个必须保持秘密状态，称为私钥；另一个则被广泛发布，称为公钥。这一组密钥中的一个用于加密，另一个用于解密。,29,谢谢观赏,2019-9-21,6.2.2非对称加密,非对称加密示意图,非对称加密示意图,30,谢谢观赏,2019-9-21,6.2.2非对称加密,例如，用户A要向用户B发送一条消息，A就必须用B的公钥对信息进行加密，然后再发送。B接收到经过加密的消息之后，用其自己的私钥加以解密获取原始信息。在传输的过程中，任何想窃取信息的人因为没有B的私钥而无法获取信息。尽管公钥和私钥是相关的，但要想从公钥确定私钥还是极端困难的。,31,谢谢观赏,2019-9-21,6.2.2非对称加密,优点：由于公钥是公开的，而私钥则由用户自己保存，所以对于非对称密钥来说，其密钥管理相对比较简单。缺点：因为复杂的加密算法，使得非对称密钥加密速度较慢，即使一个很简单的非对称加密也是很费时间的。,32,谢谢观赏,2019-9-21,6.2.3 单向加密（Hash encryption）,单向加密包括一个含有哈希函数的哈希表，由这个表确定用来加密的十六位进制数。使用单向加密对信息加密，在理论上加以解密是不可能的。HASH加密用于不想对信息解读或读取而只需证实信息的正确性。这种加密方式适用于签名文件。,33,谢谢观赏,2019-9-21,6.2.3单向加密（Hash encryption）,例如，ATM自动取款机不需要解密用户的身份证号码，可以对用户的身份证号码进行计算产生一个结果。即磁条卡将用户的身份证号单向加密成一段HASH值，一旦插卡，ATM机将计算用户信息的HASH值并产生一个结果，然后再将其结果与用户卡上的HASH值比较，以此进行认证。,34,谢谢观赏,2019-9-21,6.2.3单向加密（Hash encryption）,HASH算法 HASH加密使用复杂的数字算法来实现有效的加密。典型HASH算法MD5算法 MD5提供了一种单向的哈希函数，是一个校验和工具。它将一个任意长的字串做为输入，产生一个128位的“报文摘要”。通过计算每个文件的数字指纹（或数字签名），来检查文件是否被更换，或者是否与原来的一致。一个称为MD系列的算法集就是进行这项工作的。其中最常用到的是MD5的系统。,35,谢谢观赏,2019-9-21,6.2.3单向加密（Hash encryption）,数字签名在商业系统中，通常都利用书面文件来规定契约性的责任。鉴别技术可以有效地防止第三者的介入，但却不能防止接收者的伪造。另一方面，当发送的信息变得对其不利时，发送方就可能谎称从未发过这个信息。在整个争执过程中，第三方也无法分辨情况的真实性。,36,谢谢观赏,2019-9-21,6.2.3单向加密（Hash encryption）,为了解决上述问题，就必须利用另外一种安全技术即数字签名。数字签名的功能:l 接收者能够核实发送者对报文的签名。l 发送者事后不能抵赖对报文的签名。l 任何人不能伪造对报文的签名。 l 保证数据的完整性，防止截获者在文件中加入其他信息。 l 对数据和信息的来源进行保证，以保证发件人的身份。 数字签名有一定的处理速度，能够满足所有的应用需求。,37,谢谢观赏,2019-9-21,6.2.4 实用加密举例,实用加密 为确保信息在网上长距离的安全传输。通常将对称、非对称和HASH加密综合使用。 一些像IIS,PGP,SSL,S-MIME的应用程序都是用对称密钥对原始信息加密，再用非对称密钥加密所使用的对称密钥，最后用一个随机码标记信息确保不被篡改。例如：发送和接收E-mail中加密的实现全部过程,38,谢谢观赏,2019-9-21,39,谢谢观赏,2019-9-21,6.2.4实用加密举例,1）发送方和接收方在发送信息之前要得到对方的公钥。2）发送方产生一个随机的会话密钥，用于加密email信息和附件的。这个密钥是根据时间的不同以及文件的大小和日期而随机产生的。算法通过使用DES, Triple DES, RC5等等。 3） 发送者将该会话密钥和信息进行一次单向加密得到一个HASH值。这个值用来保证数据的完整性因为它在传输的过程中不会被改变。在这一步通常使用MD2, MD4, MD5或SHA1。MD5用于SSL。 4） 发送者用自己的私钥对这个HASH值加密。通过使用发送者的私钥加密，接收者可以确定信息确实是从这个发送者发过来的。加密后的HASH值称做信息摘要。,40,谢谢观赏,2019-9-21,6.2.4 实用加密举例,5） 发送者用在第二步产生的会话密钥对E-mail信息和所有的附件加密。这种加密提供了数据的保密性。 6） 发送者用接收者的公钥对这个会话密钥加密，来确保信息只能被接收者用其自己的私钥解密。这步提供了认证。 7） 然后将加密后的信息和数字摘要发送给接收方。解密的过程正好以相反的顺序执行。,41,谢谢观赏,2019-9-21,42,谢谢观赏,2019-9-21,6.2.5 加密技术的实现,1. PGP (Pretty Good Privacy)PGP是对电子邮件和文本文件较流行的高技术加密程序，PGP的成功在于采用对称加密和非对称加密技术以及HASH加密各自的优点。 2. Secure MIME(S-MIME)S-MIME为一个公共的工业标准方法，主要应用到Netscape Communicators Messenger E-mail程序上。,43,谢谢观赏,2019-9-21,6.2.5 加密技术的实现,3. 加密文件 除了加密E-mail信息，还可以加密整个硬盘的任何部分，建立隐藏加密的驱动器。对于Windows平台可选BestCrypt()。4. MD5sumMD5sum可以应用到Windows NT或Liunx上。Linux系统下的md5sum实用程序可对一个单独的文件建立固定长度的校验和，该文件长度可以任意，但校验和总是保持128位的长度。用于检查一个文档是否被损害。,44,谢谢观赏,2019-9-21,6.2.5 加密技术的实现,5. Web服务器加密加密WEB服务器有两种模式： 安全超文本传输协议（Secure HTTP） 安全套接字层（SSL）。这两种协议都允许自发的进行商业交易， Secure HTTP和SSL都使用对称加密，非对称加密和单向加密，并使用单向加密的方法对所有的数据包签名。,45,谢谢观赏,2019-9-21,6.2.5 加密技术的实现,Secure HTTP使用非对称加密保护在线传输，大多数浏览器都支持这个协议。 SSL协议允许应用程序在公网上秘密的交换数据。SSL允许两个应用程序通过使用数字证书认证后在网络中进行通信。还使用加密及信息摘要来保证数据的可靠性。 SSL比其它方法更加安全，其加密的过程是发生在网络的较低层。 Secure HTTP只能加密HTTP流量。,46,谢谢观赏,2019-9-21,6.2.6密码破译方法,1密钥的穷尽搜索破译密文就是尝试所有可能的密钥组合。虽然大多数的密钥尝试都是失败的，但最终有一个密钥让破译者得到原文，这个过程称为密钥的穷尽搜索。2密码分析（1）已知明文的破译方法（2）选定明文的破译方法,47,谢谢观赏,2019-9-21,3其他密码破译方法“窥视”或“偷窃”密钥内容；利用加密系统实现中的缺陷或漏洞；对用户使用的加密系统偷梁换柱；从用户工作生活环境的其他来源获得未加密的保密信息；让口令的另一方透露密钥或信息；威胁用户交出密钥等等。,6.2.6 密码破译方法,48,谢谢观赏,2019-9-21,4防止密码破译的措施（1）强壮的加密算法（2）动态会话密钥（3）保护关键密钥,6.2.6 密码破译方法,49,谢谢观赏,2019-9-21,常见系统的口令及其对应的密钥长度,6.2.6 密码破译方法,50,谢谢观赏,2019-9-21,6.3 系统访问控制与认证机制,6.3.1 系统登陆 1 Unix系统登陆Unix系统是一个可供多个用户同时使用的多用户、多任务、分时的操作系统，任何一个想使用Unix系统的用户，必须先向该系统的管理员申请一个账号，然后才能使用该系统，因此账号就成为用户进入系统的合法“身份证”。,51,谢谢观赏,2019-9-21,6.3.1 系统登陆,2 Unix账号文件Unix账号文件/etc/passwd是登录验证的关键，该文件包含所有用户的信息，如用户的登录名、口令和用户标识号等等信息。该文件的拥有者是超级用户，只有超级用户才有写的权力，而一般用户只有读取的权力。,52,谢谢观赏,2019-9-21,6.3.1 系统登陆,3. Windows NT/2000系统登录Windows NT要求每一个用户提供唯一的用户名和口令来登录到计算机上，这种强制性登录过程不能关闭。 成功的登录过程有4个步骤：（1）Win 32的WinLogon进程给出一个对话框，要求要有一个用户名和口令，这个信息被传递给安全性账户管理程序。（2）安全性账户管理程序查询安全性账户数据库，以确定指定的用户名和口令是否属于授权的系统用户。（3）如果访问是授权的，安全性系统构造一个存取令牌，并将它传回到Win 32的 WinLogin进程。（4）WinLogin调用Win 32子系统，为用户创建一个新的进程，传递存取令牌给子系统，Win 32对新创建的进程连接此令牌。,53,谢谢观赏,2019-9-21,6.3.1 系统登陆,4. 账户锁定为了防止有人企图强行闯入系统中，用户可以设定最大登录次数，如果用户在规定次数内未成功登录，则系统会自动被锁定，不可能再用于登录。 5. Windows 安全性标识符（SID）在安全系统上标识一个注册用户的唯一名字，它可以用来标识一个用户或一组用户。,54,谢谢观赏,2019-9-21,55,谢谢观赏,2019-9-21,56,谢谢观赏,2019-9-21,6.3 认证机制,身份认证（Identification and Authentication）定义为：为了使某些授予许可权限的权威机构满意，而提供所要求的用户身份验证的过程。6.3.1 认证方法 用户或系统能够通过四种方法来证明其身份： 实物认证密码认证生物特征认证位置认证,57,谢谢观赏,2019-9-21,6.3.1 认证方法,实物认证：智能卡（Smart Card）就是一种根据用户拥有的物品进行鉴别的手段。自动取款机ATM。密码认证：口令可以说是其中的一种，但口令容易被偷窃，于是人们发明了一种一次性口令机制。,58,谢谢观赏,2019-9-21,6.3.1 认证方法,生物特征认证 指纹：唯一地识别一个人手印：读取整个手而不是仅仅手指的特征。声音图像：每个人各不相同笔迹或签名：字母和符号的组合、签名时某些部分用力的大小、笔接触纸的时间的长短、笔移动中的停顿等细微的差别。视网膜扫描：是用红外线检查人眼各不相同的血管图像。,59,谢谢观赏,2019-9-21,6.3.1 认证方法,位置认证 该认证的策略是根据用户的位置来决定其身份。比如UNIX的rlogin和rsh程序通过源IP地址来验证一个用户、主机或执行过程。,60,谢谢观赏,2019-9-21,6.3.1 认证方法,3、口令维护问题（1）不要几个人共享一个口令，不要把它记在本子上或计算机周围。（2）不要用系统指定的口令，如 root、demo和test等，第一次进入系统就要修改口令，不要沿用系统给用户的缺省口令。（3）最好将口令加密处理后再用电子邮件传送，一般不用电子邮件传送。,61,谢谢观赏,2019-9-21,（4）如果账户长期不用，管理员应将其暂停。如果雇员离开公司，则管理员应及时把他的账户消除，（5）可以限制用户的登录时间，如只有在工作时间可登录。（6）限制登录次数。防止对账户多次尝试口令而闯入系统。（7）最后一次登录，该方法报告最后一次系统登录的时间、日期，以及在最后一次登录后发生过多少次未成功的登录企图。这样可以提供线索了解是否有人非法访问。,62,谢谢观赏,2019-9-21,（8）去掉TFTP服务，因通过使用TFTP（Trivial File Transfer Protocol）可获取口令文件（/etc/passwd ）。（9）定期地查看日志文件，尤其是登录末成功的消息日志文件。（10）确保除了root之外没有任何公共的用户账号。不创建guest账号。,63,谢谢观赏,2019-9-21,6.3.2 认证类型,认证服务器所授权认证的数字证书类型有以下几种： CA证书：CA证书是签发并管理正式使用公用密钥与用户相关的证书。该证书只在某一时间内有效，因而CA保存一份有效证书及其有效期清单。 服务器证书：是运行在Web服务器上，并且保证服务器和浏览器间的加密的SSL会话 个人证书：给用户授权的证书，运行S/MIME、SSL以及SET。 软件出版商认证：允许applets或Active X控件的开发者公开他们的身份。,64,谢谢观赏,2019-9-21,6.3.3 实用认证技术,从上面的认证方法中，可以看到使用单独的某一种认证机制的安全性是有限的。Kerberos和一次性密码是用于加强认证系统的两项技术。其结合使用加密技术和其它策略来检查身份，有效地防止了一些恶意破坏。其认证手段得到广泛应用。,65,谢谢观赏,2019-9-21,6.3.3 实用认证技术,Kerberos认证系统 在开放环境中，为了减轻应用服务器对用户认证的负担，引入一个认证服务器AS（Authentication Server）的第三方来承担对用户的认证，AS知道每个用户的口令，并将口令保存于一个中心数据库。（1）用户如果想访问某一应用服务器，首先向AS发出请求，（2）AS将收到的用户口令与中心数据库存储的口令相比较以验证用户的身份。（3）如果验证通过，AS 则向用户发放一个允许用户得到应用服务器服务的票据，（4）用户则根据这一票据去获取服务器的服务。 若用户需要多次访问同一服务器，避免每次都重复获取票据的过程，再引入另一新服务器称为票据许可服务器TGS（Ticket-granting Server）。TGS向已以经过AS认证的客户发放用于获取应用服务器的票据。,66,谢谢观赏,2019-9-21,Kerberos系统的认证过程分为三个阶段，共六步。,67,谢谢观赏,2019-9-21,第1阶段：认证服务交换，即用户从AS获取 访问TGS的票据许可票据。第2阶段：用户从TGS获取服务许可票据， 即票据许可服务交换。第3阶段：用户从服务器获取服务，即客户 机与服务器的认证交换。,6.3.3 实用认证技术,68,谢谢观赏,2019-9-21,第1步：客户向AS发出访问TGS的请求，请求中 的时戳用以向AS表示这一请求是新的。 第2步：AS向C发出应答，应答由用户的口令导 出的密钥加密，使得只有C能解读。应 答的内容包括C与TGS会话所使用的密 钥，用以向C表示TGS身份的ID、时戳 TS、AS向C发放的票据许可票据Ticket 以及这一票据的截止期限lifetime。,6.3.3 实用认证技术,69,谢谢观赏,2019-9-21,6.3.3 实用认证技术,第3步：C向TGS发出一个由请求提供服务的服务器的身份、第2步获得的票据以及一个认证符构成的消息。其中认证符中包括C上用户的身份、C的地址及一个时戳。与票据不同，票据可重复使用且有效期较长，而认证符只能使用一次且有效期很短。TGS用与AS共享的密钥Kt解密票据后，知道C已从AS处得到与自己会话的会话密钥Kctgs，票据在这里的含义事实上是“使用密钥的人就是C”。,70,谢谢观赏,2019-9-21,6.3.3 实用认证技术,TGS也使用Kctgs解读认证符，并将认证符中的数据与票据中的数据加以比较，从而可相信票据的发送者的确是票据的实际持有者，这时认证符的含义实际上是“在时间TS，C使用KCtgs”。这时的票据不能证明任何人的身份，只是用来安全地分配密钥，而认证符则是用来证明客户的身份。因为认证符仅能被使用一次且有效期很短，可防止票据和认证符被盗用。,71,谢谢观赏,2019-9-21,第4步：TGS向C应答的消息由TGS和C共享的会话密钥加密后发往C，应答中的内容有C和V共享的会话密钥Kc,v、V的身份ID，服务许可票据TicketV(有C和V的ID、 Kc,v、并用TGS与V的共享密钥KV加密）及票据的时戳。第5步：C向服务器V发出服务许可票据TicketV和认证符Authenticatorv。服务器用Kv 解密票据后得到会话密钥Kc,v，并由Kc,v 解密认证符，以验证C的身份。第6步：服务器V向C证明自己的身份。V对从认证符得到的时戳加1，再由与C共享的密钥加密后发给C，C解读后对增加的时戳加以验证，从而相信增加时戳的的确是V。,6.3.3 实用认证技术,72,谢谢观赏,2019-9-21,一次性密码（OTP One Time Password ）为了解决固定口令的诸多问题，安全专家提出了一次性口令密码体制，以保护关键的计算资源。OTP的主要思路是： 在登录过程中加入不确定因素，使每次登录过程中传送的信息都不相同，以提高登录过程安全性。例如：登录密码=MD5(用户名密码 时间），系统接收到登录口令后做一个验算即可验证用户的合法性。,6.3.3 实用认证技术,73,谢谢观赏,2019-9-21,6.4虚拟专用网及其安全性,虚拟专用网VPN（Virtual Private Networks）是企业内部网在Internet等公共网络上的延伸，通过一个专用的通道来创建一个安全的专用连接，从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来，构成一个扩展的企业内部网。通过VPN，网络服务提供商NSP或ISP可使用Internet或服务器将自己的IP主干网向企业提供远程访问和分支机构互联等业务，从而扩大了自己网络的地域范围，增加了自己的商业服务机会。而对企业来说可很大程度地降低自己的费用，减少对网络管理和支持终端用户的需求，并可使自己的安全规则更为灵活。,74,谢谢观赏,2019-9-21,6.4虚拟专用网及其安全性,75,谢谢观赏,2019-9-21,6.4虚拟专用网及其安全性,76,谢谢观赏,2019-9-21,6.4虚拟专用网及其安全性,77,谢谢观赏,2019-9-21,6.4虚拟专用网及其安全性,78,谢谢观赏,2019-9-21,6.4.1 VPN简介,VPN指的是在共享网络上建立专用网络的技术，其连接技术称为隧道。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台（如Internet，ATM，Frame Relay等）之上的逻辑网络，用户数据在逻辑链路中传输。其VPN具有虚电路的特点。VPN协议可以处理数据包，并对其有效负载加密，把数据包发送到目的地址。,79,谢谢观赏,2019-9-21,6.4.1 VPN简介,VPN具有以下优点： 降低成本：企业不必租用长途专线建设专网以及大量的网络维护人员和设备的投资。容易扩展：网络路由设备配置简单。 控制主动权：VPN上的设施和服务完全掌握在企业手中。企业可以把拨号访问交给NSP去做，而自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。 VPN通过采用“隧道”技术，在公网中形成企业的安全、机密、顺畅的专用链路。 常见的VPN协议有PPTP和IPSec。,80,谢谢观赏,2019-9-21,6.4.2 VPN的安全性,对于VPN的实施来说，安全性也是很重要的。如果不能保证其安全性，黑客就可以假扮用户以获取网络信息，这样就会对网络安全造成威胁。 1. 点对点的隧道协议（PPTP） PPTP是用来在公用网的通信系统间（通常是客户机和服务器间）建立一个专用通道。该协议使用Internet 通用路由封装（GREv2，Generic Routing Encapsulation）协议封装数据和信息/控制分组。 PPTP是在微软的拨号网络设备中集成的数据加密技术，采用密钥长度为40比特的加密算法。在客户工作站与最终的隧道终结器协商PPP时，加密的会话就建立起来了.,81,谢谢观赏,2019-9-21,6.4.2 VPN的安全性,2. IPSec与PPTP的比较IPSec已成为VPN的安全标准，用来进行对数据包的加密、认证和完整性确认。IPSec标准是由一系列IP级的协议组成，这些协议用于在IP收发两端协商加密方法和数字签名方法。与点对点加密技术相比，IPSec的安全性更高。其具有用户认证、保密性和数据完整性。IPSec的另一个优点是其安全机制被松散地结合在密钥管理系统中，因此如果将来出现了更新更强大的密码算法就可直接用于这一体系结构，而无需对安全机制进行修改。,82,谢谢观赏,2019-9-21,网络病毒的特点 1、病毒Remote Explore（探险者）是网络病毒的“先驱者”， 于1998年爆发，是病毒发展历史中的一个重要标志。 Remote Explore病毒通过盗取Windows NT 域管理员的帐号进行传播。如果一个具有管理员身份的用户执行了染毒的程序，该病毒便以服务的方式驻留内存，取名为“Remote Explore”，并在染毒系统中安装文件winntsystem32driversie403r.sys。若另一台NT机器只要用同一管理员帐号登录到染毒的机器中，该病毒就可以感染局域网附加网络驱动器中的文件。 当病毒被激活后，它便在共享的网络驱动器上随机选择一个文件夹，感染除.dll 或.tmp扩展名的文件外的所有其他文件，就连一些DOS下的.exe文件同样难逃厄运。,6.5 网络病毒防治技术,83,谢谢观赏,2019-9-21,网络病毒的特点 2、Matrix 病毒Matrix在2000年8月发源于德国，它具有网络蠕虫的特性，利用Internet和LAN进行传播。 该病毒以邮件附件的形式传播。当接收者打开附件，该病毒便在网络系统内安装文件到c:windows目录下，然后将系统内的WSOCK32.DLL删除，把WSOCK32.MTX更名为WSOCK32.DLL。这样，受感染系统在发送邮件时增加自动发送附件的功能，附件即为蠕虫的副本。 病毒还能对网上邻居中的所有可用资源进行搜索，以便能够同本机进行文件传输，从而达到感染网络中其它机器的目的。 病毒通过创建wininit.ini文件，在每次系统启动后自动运行。另外，被安装的文件MTX.EXE还能够将系统连接到指定的站点，并下载新的病毒插件，以完成自身更新。,84,谢谢观赏,2019-9-21,6.5.1网络病毒的特点 3. LOVELETTER （爱虫） 病毒LOVELETTER于2000年5月发源于菲律宾。其最大的特点是通过Email和IRC快速传播。 在通过电子邮件传播时，它不放过地址簿中的每一个地址而且邮件的主题还是具有诱惑性的“I LOVE YOU”。一旦用户打开附件，病毒便进行感染：搜索outlook地址簿、IRC连接、发送带有病毒的邮件、通过IRC感染其它用户等等。,6.5 网络病毒防治技术,85,谢谢观赏,2019-9-21,其传播方式有： l 病毒直接从有盘站拷贝到服务器中。 l病毒首先传染工作站并驻留内存，等运行网络盘内程序时再传染给服务器。或在运行时直接通过映像路径传染到服务器。 l 若远程工作站被病毒侵入，病毒则可通过通信中数据交换进入网络服务器中。,6.5 网络病毒防治技术,86,谢谢观赏,2019-9-21,在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外，还具有一些新的特点：l感染速度快：在单机环境下，病毒只能通过软盘从一台计算机带到另一台，而在网络中则可以通过网络通信机制进行迅速扩散。l扩散面广：由于病毒在网络中扩散非常快，扩散范围很大，不但能迅速传染局域网内所有计算机，还能在瞬间通过远程工作站将病毒传播到千里之外。,6.5 网络病毒防治技术,87,谢谢观赏,2019-9-21,l 传播的形式复杂多样：计算机病毒在网络上一般是通过“工作站-服务器-工作站”的途径进行传播的，但传播的形式复杂多样。 l 难于彻底清除：单机上的计算机病毒有时可通过删除带毒文件、低级格式化硬盘等措施将病毒彻底清除。而在网络中，只要有一台工作站未能消毒干净，就可能使整个网络重新被病毒感染，甚至刚刚完成清除工作的一台工作站就有可能被网上另一台带毒工作站所感染。l 破坏性大。网络上病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则使网络崩溃， 破坏服务器信息，使多年工作毁于一旦。,6.5 网络病毒防治技术,88,谢谢观赏,2019-9-21,6.5.2 对网络病毒的防御能力 (防病毒工具)1. 病毒查杀能力病毒查杀能力的强弱体现在可查杀病毒的种类和数目，并还要关注对实际流行病毒的查杀能力。有些病毒虽然曾流行过，但以后可能不会再遇到。2. 对新病毒的反应能力 对新病毒的反应能力是考察一个防病毒工具好坏的重要方面。主要是衡量软件工具的病毒信息搜集网络、病毒代码的更新周期和供应商对用户发现的新病毒的反应周期。,6.5 网络病毒防治技术,89,谢谢观赏,2019-9-21,3. 病毒实时监测能力病毒通过邮件和网页传播的途径具有一定的实时性，用户无法人为地了解可能感染的时间。因此，防病毒软件的实时监测能力显得相当重要。4. 快速、方便的升级 防病毒软件对更新及时性的要求尤为突出。多数反病毒软件采用了Internet进行病毒代码和病毒查杀引擎的更新，并可以通过一定的设置自动进行，尽可能地减少人力的介入。这种升级信息应该和安装一样能方便地“分发”到各个终端。,6.5 网络病毒防治技术,90,谢谢观赏,2019-9-21,5. 智能安装、远程识别 由于服务器和客户端承担的任务不同，在防病毒方面的要求也不大一样。在安装时如果能够自动区分